Systemejerne skal passe på aktiverne

De mest sårbare forretningsområder for organisationens informationssikkerhed skal identificeres af de personer (entiteter), ledelsen har udpeget som ansvarlige for de enkelte systemer og data.

Ansvarlige for systemer og/eller data har også ansvar for informationssikkerhed knyttet til disse systemer og data. Systemejerne yder et væsentligt bidrag til, at organisationens interne brugere og eksterne kunder har adgang til de informationer, de skal bruge, når de skal bruge dem (tilgængelighed). Informationerne være korrekte og fuldstændige (integritet). Og følsomme informationer skal beskyttes mod uvedkommendes adgang (fortrolighed).

Sammenhæng med forretningen

Det kræver ikke særlig teknisk indsigt at være systemejer. Til gengæld er det nødvendigt at have overblik over hvilke forretningsprocesser, systemer og data understøtter. Som ansvarlig for systemer og/eller data skal man bruge dette overblik til at stille de relevante sikkerhedsmæssige krav med udgangspunkt i de sikkerhedsniveauer organisationens topledelse har fastlagt i ”Statement of Applicability (SoA)”.

De vigtigste informationssikkerhedsmæssige opgaver som ejer af systemer og/eller data er at:

  • identificere og dokumentere de enkelte sikkerhedsaktiver
  • klassificere aktiver og specificere sikkerhedsmæssige krav for hvert aktiv
  • godkende anskaffelser og installation af disse
  • give adgang til systemer og data
  • godkende placering af kritiske aktiver, udviklings- og hjælpemiljøer
  • godkende beredskabsplaner  følge op på sikkerhedshændelser.

Uddelegering og entydigt ansvar

Systemejer kan delegere rutinemæssige opgaver til en person (entitet), der dagligt holder øje med aktiverne, men systemejeren har stadig det endelige ansvar for systemets informationssikkerhed og i hele systemets levetid.

I takt med, at brugervenlige systemer vinder indpas, bliver det mere og mere almindeligt, at et antal løst koblede tjenester (services) gør brug af en fælles data- eller informationsmængde f.eks. ved at en tjeneste samkører eller sammenstiller data fra flere kilder. Måske skabes der på denne måde en helt ny informationsmængde, som kræver en præcisering af, hvem der ejer – og har ansvar for – denne (nye) informationsmængde.

Omvendt en fælles data- eller informationsmængde kan funktionsadskillelse af modstridende systemer være en metode til at reducere risikoen for fejlagtig brug eller bevidst misbrug af jeres aktiver. Systemejere bør adskille modstridende funktioner og ansvarsområder for at nedsætte disse risici.

Systemejere skal sikre, at ingen enkeltpersoner kan få adgang til, ændre eller bruge aktiver uden autorisation og uden at blive opdaget. Hvis det er vanskeligt at gennemføre funktionsadskillelse, bør man overveje andre kontroller, f.eks. overvågning af aktiviteter, audit og tilsyn fra ledelsens side.